Η Google προειδοποιεί για πολλούς κακόβουλους χρήστες που μοιράζονται ένα δημόσιο PoC εκμετάλλευσης της υπηρεσίας Google Calendar για να φιλοξενήσουν υποδομές ελέγχου και εντολών (C2).
Δείτε επίσης: Το Google Calendar επιτέλους «συνεργάζεται» καλά με το Outlook
Το εργαλείο, με την ονομασία Google Calendar RAT (GCR), χρησιμοποιεί τα Γεγονότα του Google Calendar για επικοινωνία (C2) χρησιμοποιώντας ένα λογαριασμό Gmail. Δημοσιεύτηκε για πρώτη φορά στο GitHub τον Ιούνιο του 2023.
Σύμφωνα με τον προγραμματιστή και ερευνητή, που είναι γνωστός με το διαδικτυακό ψευδώνυμο MrSaighnal, “το σενάριο δημιουργεί ένα “Κρυφό Κανάλι” εκμεταλλευόμενο τις περιγραφές γεγονότων στο Google Calendar. Ο στόχος θα συνδεθεί απευθείας με το Google.“
Η τεχνολογική εταιρεία, στην όγδοη έκθεση Threat Horizons της, αναφέρει ότι δεν έχει παρατηρήσει τη χρήση του εργαλείου στον πραγματικό κόσμο, αλλά σημειώνει ότι η μονάδα απειλών Mandiant της έχει παρατηρήσει την κοινοποίηση του PoC σε παράνομα φόρουμ.
Σύμφωνα με τη Google, “το GCR λειτουργεί σε ένα χειραγωγημένο μηχάνημα και περιοδικά ελέγχει την περιγραφή των εκδηλώσεων στο ημερολόγιο για νέες εντολές, εκτελεί αυτές τις εντολές στη συσκευή προορισμού και στη συνέχεια ενημερώνει την περιγραφή της εκδήλωσης με την έξοδο των εντολών.“
Η πραγματικότητα ότι το εργαλείο λειτουργεί αποκλειστικά σε νόμιμες υποδομές δυσκολεύει τους υπερασπιστές να ανιχνεύσουν ύποπτη δραστηριότητα, πρόσθεσε. Η ανάπτυξη αναδεικνύει το συνεχές ενδιαφέρον των απειλητικών φορέων να καταχρώνται τις υπηρεσίες του cloud για να αναμειγνύονται με το περιβάλλον των θυμάτων και να περνούν απαρατήρητοι.
Ανάμεσα σε αυτούς περιλαμβάνεται ένας κρατικός χάκερ από το Ιράν που εντοπίστηκε να χρησιμοποιεί εγγράφατα που περιέχουν μακροεντολές για την παραβίαση χρηστών με ένα μικρό backdoor με την κωδική ονομασίας BANANAMAIL για τα Windows, το οποίο χρησιμοποιεί το ηλεκτρονικό ταχυδρομείο για επικοινωνία και ελέγχο (C2).
Δείτε ακόμα: Google Calendar: Επιτρέπει στους χρήστες να κλείνουν paid appointments
Η Ομάδα Ανάλυσης Απειλών της Google ανακοίνωσε ότι έχει απενεργοποιήσει τους λογαριασμούς Gmail που ελεγχόνταν από τον εισβολέα και χρησιμοποιούνταν ως διάδρομος από το malware.
Οι πιθανές συνέπειες της εκμετάλλευσης του Google Calendar από χάκερ μπορεί να είναι πολλαπλές και σοβαρές. Ένας χάκερ που έχει πρόσβαση στο ημερολόγιο μπορεί να αποκτήσει πρόσβαση σε προσωπικές πληροφορίες και προγραμματισμένες δραστηριότητες των χρηστών. Αυτό μπορεί να οδηγήσει σε παραβίαση της ιδιωτικότητας και της ασφάλειας των χρηστών.
Επιπλέον, ο χάκερ μπορεί να χρησιμοποιήσει το ημερολόγιο για να εκτελέσει επιθέσεις phishing ή social engineering. Αυτό σημαίνει ότι μπορεί να αποστείλει παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου ή προσκλήσεις για ψεύτικα γεγονότα, προσποιούμενος ότι είναι ο χρήστης, με σκοπό την απόκτηση προσωπικών πληροφοριών ή την εγκατάσταση κακόβουλου λογισμικού.
Επιπλέον, ο χάκερ μπορεί να παραβιάσει την ακεραιότητα του ημερολογίου, προσθέτοντας ή τροποποιώντας εκδηλώσεις. Αυτό μπορεί να προκαλέσει σύγχυση και προβλήματα στους χρήστες, όπως απώλεια συναντήσεων ή παραβίαση προθεσμιών. Επιπλέον, ο χάκερ μπορεί να χρησιμοποιήσει το ημερολόγιο για να διαδώσει κακόβουλο λογισμικό σε άλλους χρήστες μέσω κοινόχρηστων συνδέσμων ή αρχείων.
Δείτε επίσης: Google Calendar: Θέλει να κυκλοφορήσει γραφικά στοιχεία Material You
Τέλος, ο χάκερ μπορεί να εκμεταλλευτεί το ημερολόγιο για να προκαλέσει διαταραχές στην επαγγελματική ή προσωπική ζωή των χρηστών. Μπορεί να προσθέσει ή να αλλοιώσει εκδηλώσεις με σκοπό την προκλητική ή παραπλανητική αναφορά προς άλλους χρήστες. Αυτό μπορεί να οδηγήσει σε σύγχυση, παρεξήγηση και απώλεια εμπιστοσύνης στον χρήστη που είναι θύμα της επίθεσης.
Πηγή: thehackernews